產(chǎn)品功能介紹

1、日志治理系統(tǒng)L O G B A S E為滿足用戶對網(wǎng)絡(luò)根底架構(gòu)及其應(yīng)用系統(tǒng)的平安事件進行自動化、智能化集中治理和分析的要求,LogBase為用戶提供了功能強大的事件采集模塊、完善的日志分析模塊,高 效的日志治理及存儲模塊,龐雜的日志分析和治理工作從此變得輕松、簡單.4.6.1 事件采集功能采集對象LogBase支持的采集對象包括：? 操作系統(tǒng)：Linux、Solaris、AIX等所有主流類Unix操作系統(tǒng)的運行狀態(tài)及系統(tǒng)日志；Windows操作系統(tǒng)的事件日志EventLog、效勞器主機性能、網(wǎng)絡(luò)連接狀態(tài)等；? 網(wǎng)絡(luò)及平安設(shè)備：天融信、綠盟、東軟、聯(lián)想網(wǎng)御、Cisco、Checkpoint、Ju

2、niper、Fortinet、等國內(nèi)外主流網(wǎng)絡(luò)及平安設(shè)備廠商的各種網(wǎng)絡(luò)設(shè)備及平安設(shè)備；? 主流數(shù)據(jù)庫訪問行為：支持對ORACLE、MS-SQL、SYBASE、Informix > DB2等主流數(shù)據(jù)庫網(wǎng)絡(luò)訪問協(xié)議 的解析.? 常見網(wǎng)絡(luò)協(xié)議訪問行為：支持對HTTP FTP SMTP POP3 Telnet、MSN BT等常見內(nèi)網(wǎng)及互聯(lián)網(wǎng)應(yīng)用層訪問 協(xié)議的解析.? 應(yīng)用系統(tǒng)：支持對常見 Web及應(yīng)用中間件系統(tǒng)Apache IIS、Tomcat、Resin、WebsphereWebLogic、 TUXEDO、VisiBroker等、EMAIL系統(tǒng)、FTP系統(tǒng)和常見應(yīng)用系統(tǒng)產(chǎn)生的系統(tǒng)運行及用 戶訪

3、問日志.采集方式LogBase的平安事件采集由基于網(wǎng)絡(luò)監(jiān)聽的硬件探測器設(shè)備、基于網(wǎng)絡(luò)協(xié)議采集的硬件探測器設(shè)備和軟件形式的軟件探針等三類探測器完成,對不同類型的事件類型采用不同 的采集手段.?網(wǎng)絡(luò)監(jiān)聽方式部署在網(wǎng)絡(luò)中的硬件探測器設(shè)備通過監(jiān)聽及協(xié)議復(fù)原方式獲取,采取旁路方式部 署在網(wǎng)絡(luò)中,通過交換機鏡像對網(wǎng)絡(luò)流量進行采集分析.主要完成以下網(wǎng)絡(luò)操作行為 的收集工作：(1)對用戶通過數(shù)據(jù)庫客戶端對各種數(shù)據(jù)庫系統(tǒng)的各種操作行為,包括登錄、查詢、修改、刪除、數(shù)據(jù)定義和權(quán)限治理等；(2)上網(wǎng)行為日志(Web訪問、Email、BT、Msn等)、Telnet訪問、FTP訪問行為 等.?協(xié)議訪問方式(本方案建議方

4、式)部署在網(wǎng)絡(luò)中的硬件探測器設(shè)備通過通用協(xié)議接收或獲取各種日志,可分為兩類：(1)專用日志協(xié)議,以Syslog日志為代表的網(wǎng)絡(luò)及系統(tǒng)日志協(xié)議是目前所有的 網(wǎng)絡(luò)設(shè)備、平安設(shè)備、Unix主機中比較通用的日志協(xié)議,其它類似協(xié)議還有SNMPTrap、OPSEC-LEA等,LogBase依據(jù)特定協(xié)議接受或主動詢問獲得相關(guān)系統(tǒng)日志.(2)文件訪問協(xié)議,系統(tǒng)治理員通過 FTP、SMB、HTTP等協(xié)議將操作系統(tǒng)、 應(yīng)用系統(tǒng)產(chǎn)生的文件型日志開放給 LogBase探測器設(shè)備,由探測器設(shè)備主動下載日志 文件、從而分析并采集日志.?軟件探針方式對于主機上的各種非文件形式的日志、無法通過 SNMP等協(xié)議獲取的操作系統(tǒng)運

5、 行狀態(tài)等信息,LogBase支持采用在對象主機上安裝軟件探針(Agent)方式進行日志 采集.如通過在 Windows主機上安裝Agent完成收集Event Log、性能監(jiān)控、網(wǎng)絡(luò)連接 狀態(tài)、進程運行狀態(tài)等信息的收集；通過在 Unix主機上安裝Agent完成對用戶通過加 密協(xié)議或Console進行的Shell操作的記錄采集等.4.6.2 存儲治理LogBase將采集到的各類事件經(jīng)過格式化預(yù)處理過后,統(tǒng)一以日志的形式送往治理及 查詢中央和存儲中央.LogBase采用專有的特殊文件系統(tǒng)對標(biāo)準(zhǔn)化的日志進行存儲,同時也支持Mysql等標(biāo)準(zhǔn)數(shù)據(jù)庫存儲.LogBase文件存儲機制是根據(jù)日志系統(tǒng)的特殊性進

6、行專門研發(fā),為海量日 志的存儲及檢索進行了優(yōu)化設(shè)計,在海量日志的情況下,具有其他同類日志審計產(chǎn)品無法比較的速度優(yōu)勢LogBase產(chǎn)品內(nèi)置高達數(shù)百G產(chǎn)品具體容量見相關(guān)產(chǎn)品資料的硬盤存儲空間,內(nèi)置存 儲空間土§采用Raid5硬盤陣列,可有效預(yù)防由于硬盤硬件問題而帶來的數(shù)據(jù)喪失,同時LogBase支持外掛存儲系統(tǒng),如：NAS、SAN、磁盤柜等,從而實現(xiàn)存儲空間的海量擴充.LogBase支持對日志進行以下治理操作：?日志歸檔包括：手工與自動兩種方式.操作員可以設(shè)置歸檔范圍類型、時間；? 日志備份：支持歸檔文件的多種備份方式Tape/Ftp/Samba/NFS ;?日志導(dǎo)入：原始日志批量導(dǎo)入和

7、歸檔文件導(dǎo)入；?日志導(dǎo)出：支持將日志以文件形式導(dǎo)出；? 在已歸檔日志范圍內(nèi),系統(tǒng)治理員可對日志記錄進刪除操作.4.6.3 多級審計功能LogBase審計體系由實時審計引擎、日志檢索引擎、綜合審計引擎組成.實時審計：LogBase在獲取原始日志/事件后,通過實時審計引擎進行實時審計,如有 匹配實時告警規(guī)那么的日志,那么產(chǎn)生告警動作.條件查詢：輸入查詢條件,檢索引擎對日志庫的信息進行高速檢索,輸出結(jié)果集,可組合條件；綜合審計分析：提供審計檢索模板、動態(tài)和靜態(tài)兩類統(tǒng)計分析報表,可以滿足不同的 審計分析需求.4.6.4 實時分析規(guī)那么庫組織方式LogBase實時分析規(guī)那么庫以二維形式存儲,以二叉樹方式

8、進行高效規(guī)那么匹配,匹配規(guī) 那么成功時,進行告警輸出,并執(zhí)行下一行為繼續(xù)下一規(guī)那么、跳轉(zhuǎn)規(guī)那么、規(guī)那么匹配結(jié)束規(guī)那么組成結(jié)構(gòu)? 規(guī)那么根本信息：規(guī)那么編號、規(guī)那么名稱、規(guī)那么描述；? 規(guī)那么條件：規(guī)那么匹配的依據(jù).正那么表達式進行規(guī)那么匹配.通過語義進行內(nèi)容搜索；行為主體、行為時間、行為內(nèi)容比較運算符：等于、大于、小于、不等于、區(qū)間、模糊.邏輯運算符：與、或.? 規(guī)那么動作：規(guī)那么匹配成功的日志進行相應(yīng)的動作.日志分類原始、重要、告警告警等級；設(shè)置告警等級,對告警性質(zhì)進行分類告警方式郵件、短信、聲音,其中可以多種告警方式并用等；告警消息；用戶可以接受,查看的告警提示信息接收告警組；可以處理告警對象集合4.6.5 查詢分析LogBase系統(tǒng)采用了自主開發(fā)的基于海量日志索引的日志檢索引擎,預(yù)防了在采用關(guān) 系數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時的低效率問題,采用了 “基于預(yù)測的動態(tài)索引技術(shù)、“數(shù)據(jù)正交分組技術(shù)及“適應(yīng)磁盤的索引存儲等核心技術(shù)手段,實現(xiàn)了對日志的高速檢索.通過日志類型、日志時間區(qū)間、日志所屬效勞、日志對應(yīng)關(guān)鍵字段進行查詢,查詢可 以通過與、或方式進行多級查詢條件組合,提升查詢準(zhǔn)確性.例如：查詢2006-2-20 23:00:00至2006-2-21 4:00:00期間內(nèi),配置過.78交換機的全部 日志.4.